Создание учетных записей аварийного доступа и управление ими

  • 7 мин

Важно предотвратить случайное блокировку идентификатора Microsoft Entra. С идентификатором Microsoft Entra нельзя войти или активировать учетную запись другого пользователя в качестве администратора. Вы можете снизить риск случайного отключения административного доступа. Секрет здесь в том, чтобы создать для организации две или более учетные записи аварийного доступа.

Учетные записи для аварийного доступа имеют высокий уровень привилегий и не назначаются конкретным лицам. Учетные записи для аварийного доступа используются только в непредвиденных ситуациях, в которых невозможно использовать обычные учетные записи администратора. Мы рекомендует строго ограничить доступ к учетной записи аварийного доступа. Используйте эти учетные записи только в том случае, когда это необходимо.

В этой статье приведены рекомендации по управлению учетными записями аварийного доступа в идентификаторе Microsoft Entra.

Зачем использовать учетную запись для аварийного доступа?

Организации может потребоваться использовать учетные записи для аварийного доступа в следующих ситуациях.

  • Учетные записи пользователей объединяются в федерацию, которая в настоящее время недоступна из-за перебоев в работе сотовой сети или поставщика удостоверений. Например, если узел поставщика удостоверений в вашей среде снизился, пользователи могут не входить, когда идентификатор Microsoft Entra ID перенаправляется на своего поставщика удостоверений.
  • Администраторы зарегистрированы через многофакторную проверку подлинности Microsoft Entra. Все отдельные устройства недоступны или служба недоступна. Пользователи могут не выполнить многофакторную проверку подлинности для активации роли. Например, отсутствие сотовой связи не позволяет ответить на звонок или получить текстовое сообщение. Это особенно важно, если эти два методы проверки подлинности являются единственными зарегистрированными механизмами проверки подлинности.
  • Пользователь, которому недавно предоставили права глобального административного доступа, покинул организацию. Идентификатор Microsoft Entra предотвращает удаление последней учетной записи глобального Администратор istrator, но не предотвращает удаление или отключение учетной записи в локальной среде. В этих случаях сбой может привести к тому, что организация не сможет восстановить учетную запись.
  • Может возникнуть непредвиденное обстоятельство, такое как чрезвычайная ситуация в случае стихийного бедствия, при котором мобильный телефон или другие сети могут быть недоступны.

Создание учетных записей для аварийного доступа

Создайте две или больше учетных записей для аварийного доступа. Такие учетные записи должны использоваться только в облаке, то есть только для домена onmicrosoft.com. Не стоит делать их федеративными или синхронизировать из локальной среды.

Когда администратор настраивает учетные записи для аварийного доступа, необходимо выполнить следующие условия:

  • Учетные записи аварийного доступа не должны быть связаны с конкретным пользователем в организации. Следите за тем, чтобы учетные записи организации не были привязаны к личным мобильным телефонам сотрудников, находящимся в распоряжении сотрудников аппаратным маркерам или другим учетным данным, зависящим от конкретного сотрудника. Эта мера безопасности распространяется на случаи, когда учетные данные нужны, а отдельный сотрудник недоступен. Все зарегистрированные устройства должны всегда храниться в известном и безопасном месте. Эти расположения нуждаются в нескольких способах взаимодействия с идентификатором Microsoft Entra.
  • Для учетной записи аварийного доступа следует использовать отдельный механизм проверки подлинности. Не используйте средства, применяемые для других административных учетных записей, в том числе других учетных записей аварийного доступа. Например, если обычный вход администратора осуществляется через локальную MFA, то многофакторная проверка подлинности будет другим механизмом. Однако если многофакторная проверка подлинности является основной частью проверки подлинности для учетных записей администратора, то рассмотрите другой подход для учетных записей для экстренного реагирования. Попробуйте настроить для них условный доступ через сторонний поставщик MFA, используя пользовательские элементы управления.
  • Устройство или учетные данные должны быть действительными, либо они не должны входить в планы по автоматической очистке из-за недостаточного использования.
  • Назначение роли глобального администратора должно быть постоянной процедурой, проводимой для учетных записей аварийного доступа.

Исключить хотя бы одну учетную запись из многофакторной проверки подлинности на основе телефона

Чтобы снизить риск атаки, возникшей из-за скомпрометированного пароля, идентификатор Microsoft Entra рекомендует требовать многофакторную проверку подлинности для всех отдельных пользователей. В эту группу входят администраторы и остальные специалисты (например, финансовые сотрудники), чья скомпрометированная учетная запись может повлечь значительный ущерб.

Однако хотя бы одна из учетных записей аварийного доступа не должна иметь тот же механизм многофакторной проверки подлинности, что и другие учетные записи, не являющиеся экстренными. Сюда входят сторонние решения многофакторной проверки подлинности. Если у вас есть политика условного доступа для необходимости многофакторной проверки подлинности для каждого администратора для идентификатора Microsoft Entra ID и другого подключенного программного обеспечения как службы (SaaS), следует исключить учетные записи аварийного доступа из этого требования и настроить другой механизм. Кроме того, следует убедиться, что учетные записи не имеют политики многофакторной проверки подлинности для каждого пользователя.

Исключение по меньшей мере одной учетной записи из политик условного доступа

Вам не понравится, если во время аварии такая политика заблокирует доступ, необходимый для устранения проблем. Как минимум одну учетную запись для аварийного доступа необходимо исключить из всех политик условного доступа.

Руководство по объединению в федерацию

Другой вариант для организаций, использующих доменные службы AD и ADFS или аналогичный поставщик удостоверений для федерации с идентификатором Microsoft Entra ID, — настроить учетную запись аварийного доступа, утверждение MFA которой может предоставляться этим поставщиком удостоверений. Например, учетная запись для аварийного доступа может поддерживаться парой сертификата и ключа, хранящейся, например, на смарт-карте. Когда пользователь проходит проверку подлинности в AD, ADFS может предоставить утверждение идентификатору Microsoft Entra, указывающее, что пользователь выполнил требования MFA. Даже при соблюдении этого подходы организации должны использовать облачные учетные записи аварийного доступа на случай, если федерация станет невозможной из-за сбоя.

Мониторинг входа и журналов аудита

Организациям следует контролировать все входы и действия, выполняемые с учетными записями аварийного доступа, и уведомлять о них других администраторов. Хороший мониторинг действий в учетных записях для аварийного использования позволяет гарантировать, что эти учетные записи используются только для тестирования и при реальных авариях. Вы можете настроить Log Analytics Azure для мониторинга журналов входа и отправлять сообщения электронной почты и текстовые сообщения администраторам при каждом входе с учетной записью для аварийного использования.

Регулярная проверка учетных записей

При обучении сотрудников использованию учетных записей для аварийного доступа и проверке этих учетных записей регулярно выполняйте как минимум приведенные далее действия.

  • Убедитесь, что сотрудники службы мониторинга безопасности знают, что действия по проверке учетных записей нужно выполнять регулярно.
  • Обеспечьте актуальный и задокументированный процесс использования учетных записей для аварийного использования.
  • Убедитесь, что администраторы и сотрудники службы безопасности, которым может потребоваться выполнить эти действия в случае чрезвычайной ситуации, прошили соответствующее обучение.
  • Обновите учетные данные для учетной записи аварийного доступа, в том числе любые пароли, а затем проверьте возможность их использовать для входа в систему и выполнения административных задач.
  • Убедитесь, что пользователи не зарегистрировали многофакторную проверку подлинности или самостоятельный сброс пароля (SSPR) на устройство или персональные данные отдельного пользователя.
  • Если учетные записи зарегистрированы для многофакторной проверки подлинности на устройстве, для использования во время входа или активации ролей убедитесь, что устройство доступно всем администраторам, которым может потребоваться использовать его во время чрезвычайной ситуации. Также обеспечьте для устройства не менее двух сетевых путей доступа, которые не зависят от работоспособности друг друга. Например, устройство может осуществлять связь с Интернетом через беспроводную сеть объекта и через сеть сотового оператора.

Приведенные далее действия необходимо выполнять в случае внесения важных изменений и через регулярные промежутки времени.

  • Каждые 90 дней.
  • Когда произошли недавние изменения в составе ИТ-персонала, такие как смена работы, увольнение или наем нового сотрудника.
  • Когда подписки Microsoft Entra в организации изменились